18Aug
La plupart des nouveaux PC sont livrés avec la version 64 bits de Windows - Windows 7 et 8 - depuis des années. Les versions 64 bits de Windows ne se contentent pas de tirer parti de la mémoire supplémentaire. Ils sont également plus sécurisés que les versions 32 bits. Les systèmes d'exploitation
64 bits ne sont pas immunisés contre les logiciels malveillants, mais ils disposent de plus de fonctionnalités de sécurité.Certaines d'entre elles s'appliquent également aux versions 64 bits d'autres systèmes d'exploitation, tels que Linux. Les utilisateurs de Linux bénéficieront d'avantages en matière de sécurité en passant à une version 64 bits de leur distribution Linux.
Randomisation de disposition d'espace d'adresse
ASLR est une fonction de sécurité qui place les emplacements de données d'un programme au hasard dans la mémoire. Avant ASLR, les emplacements de données d'un programme dans la mémoire pouvaient être prévisibles, ce qui rendait les attaques sur un programme beaucoup plus faciles. Avec ASLR, un attaquant doit deviner l'emplacement correct en mémoire lorsqu'il tente d'exploiter une vulnérabilité dans un programme. Une supposition incorrecte peut provoquer l'écrasement du programme, de sorte que l'attaquant ne pourra pas essayer à nouveau.
Cette fonctionnalité de sécurité est également utilisée sur les versions 32 bits de Windows et d'autres systèmes d'exploitation, mais elle est beaucoup plus puissante sur les versions 64 bits de Windows. Un système 64 bits possède un espace d'adressage beaucoup plus important qu'un système 32 bits, ce qui rend l'ASLR beaucoup plus efficace.
Signature du pilote obligatoire
La version 64 bits de Windows impose la signature obligatoire du pilote. Tout le code du pilote sur le système doit avoir une signature numérique. Cela inclut les pilotes de périphériques en mode noyau et les pilotes en mode utilisateur, tels que les pilotes d'imprimante.
La signature de pilote obligatoire empêche les pilotes non signés fournis par des logiciels malveillants de s'exécuter sur le système. Les auteurs de logiciels malveillants devront en quelque sorte contourner le processus de signature via un rootkit de démarrage ou réussir à signer les pilotes infectés avec un certificat valide volé à un développeur de pilotes légitime. Cela rend plus difficile l'exécution des pilotes infectés sur le système.
La signature du pilote peut également être appliquée sur les versions 32 bits de Windows, mais elle ne l'est pas - probablement pour une compatibilité continue avec les anciens pilotes 32 bits qui n'ont peut-être pas été signés.
Pour désactiver la signature de pilote lors du développement sur les éditions 64 bits de Windows, vous devez attacher un débogueur de noyau ou utiliser une option de démarrage spéciale qui ne persiste pas lors des redémarrages du système.
Protection des correctifs de noyau
KPP, également connu sous le nom de PatchGuard, est une fonctionnalité de sécurité que l'on trouve uniquement sur les versions 64 bits de Windows. PatchGuard empêche le logiciel, même les pilotes fonctionnant en mode noyau, de patcher le noyau Windows. Cela a toujours été non pris en charge, mais c'est techniquement possible sur les versions 32 bits de Windows. Certains programmes antivirus 32 bits ont implémenté leurs mesures de protection antivirus à l'aide des correctifs du noyau.
PatchGuard empêche les pilotes de périphérique de patcher le noyau. Par exemple, PatchGuard empêche les rootkits de modifier le noyau Windows pour les intégrer dans le système d'exploitation. Si une tentative de correction du noyau est détectée, Windows s'éteindra immédiatement avec un écran bleu ou redémarrera.
Cette protection pourrait être mise en place sur la version 32 bits de Windows, mais elle n'a pas été - probablement pour la compatibilité continue avec le logiciel 32 bits existant qui dépend de cet accès.
Protection contre l'exécution de données
DEP permet à un système d'exploitation de marquer certaines zones de la mémoire comme "non exécutables" en définissant un "bit NX". Les zones de mémoire censées contenir uniquement des données ne seront pas exécutables.
Par exemple, sur un système sans DEP, un attaquant pourrait utiliser un débordement de buffer pour écrire du code dans une région de la mémoire d'une application. Ce code pourrait ensuite être exécuté.Avec DEP, l'attaquant pourrait écrire du code dans une région de la mémoire de l'application - mais cette région serait marquée comme non exécutable et ne pourrait pas être exécutée, ce qui arrêterait l'attaque. Les systèmes d'exploitation
64 bits disposent d'un DEP basé sur le matériel. Bien que cela soit également pris en charge sur les versions 32 bits de Windows si vous disposez d'un processeur moderne, les paramètres par défaut sont plus stricts et DEP est toujours activé pour les programmes 64 bits, alors qu'il est désactivé par défaut pour les programmes 32 bits.
Le dialogue de configuration DEP sous Windows est un peu trompeur. Comme la documentation de Microsoft l'indique, DEP est toujours utilisé pour tous les processus 64 bits:
"Les paramètres de configuration DEP système s'appliquent uniquement aux applications et processus 32 bits lorsqu'ils s'exécutent sur des versions 32 bits ou 64 bits de Windows. Sur les versions 64 bits de Windows, si la DEP matérielle est disponible, elle est toujours appliquée aux processus 64 bits et aux espaces mémoire du noyau et aucun paramètre de configuration système ne permet de la désactiver. »
WOW64
Exécution 64 bits de WindowsLogiciel Windows 32 bits, mais ils le font grâce à une couche de compatibilité appelée WOW64( Windows 32 bits sur Windows 64 bits).Cette couche de compatibilité impose certaines restrictions sur ces programmes 32 bits, ce qui peut empêcher le fonctionnement correct des programmes malveillants 32 bits. Les logiciels malveillants 32 bits ne peuvent pas non plus fonctionner en mode noyau - seuls les programmes 64 bits peuvent le faire sur un système d'exploitation 64 bits - cela peut empêcher certains anciens programmes malveillants 32 bits de fonctionner correctement. Par exemple, si vous avez un ancien CD audio avec le rootkit Sony, il ne sera pas capable de s'installer sur une version 64 bits de Windows. Les versions
64 bits de Windows suppriment également la prise en charge des anciens programmes 16 bits. En plus d'empêcher l'exécution des anciens virus 16 bits, cela obligera également les entreprises à mettre à niveau leurs anciens programmes 16 bits qui pourraient être vulnérables et non corrigés.
Étant donné l'étendue actuelle des versions 64 bits de Windows, les nouveaux logiciels malveillants risquent de fonctionner sur Windows 64 bits. Cependant, le manque de compatibilité peut aider à protéger contre les anciens logiciels malveillants dans la nature.
À moins d'utiliser des anciens programmes 16 bits grinçants, du matériel ancien qui ne propose que des pilotes 32 bits ou un ordinateur doté d'un processeur 32 bits relativement ancien, vous devriez utiliser la version 64 bits de Windows. Si vous n'êtes pas sûr de la version que vous utilisez mais que vous disposez d'un ordinateur moderne exécutant Windows 7 ou 8, vous utilisez probablement l'édition 64 bits.
Bien sûr, aucune de ces fonctionnalités de sécurité n'est infaillible, et une version 64 bits de Windows est toujours vulnérable aux logiciels malveillants. Cependant, les versions 64 bits de Windows sont définitivement plus sécurisées.
Crédit d'image: William Hook sur Flickr